Страница 2 из 4
Re: 2 Vlan-а
Добавлено: 28 дек 2020, 14:40
xvo
Это уже ближе.
Но если вы назначаете адрес из подсети 192.168.0.0/24, то для того, чтобы ходить в саму эту подсеть, никаких дополнительных маршрутов не надо.
Если не ходит, то значит где-то что-то вы делаете не так.
Прикладывайте схему (рисунок) того, что вы хотите иметь в итоге и текущий конфиг.
Re: 2 Vlan-а
Добавлено: 28 дек 2020, 17:08
AndreyA
Мне нужно, чтобы, например, пакеты на адрес 192.168.1.10 шли через vlan193. Конфиг прикрепить не могу- пишет "Достигнут максимальный общий размер ваших вложений.". :(
Re: 2 Vlan-а
Добавлено: 28 дек 2020, 18:54
xvo
AndreyA писал(а): ↑28 дек 2020, 17:08
Мне нужно, чтобы, например, пакеты на адрес 192.168.1.10 шли через vlan193.
Это ничего не объясняет.
И это не схема.
Так что ничего более конкретного, чем "получить роутером в этом влане адрес, и через шлюз сети ходящей в этом влане прописать маршрут до нужного адреса", я вам сказать не смогу.
AndreyA писал(а): ↑28 дек 2020, 17:08
Конфиг прикрепить не могу
Текст просто в пост скопируйте в тэге "code".
Re: 2 Vlan-а
Добавлено: 28 дек 2020, 21:11
AndreyA
У меня вариантов конфигураций получилось много- и все они нерабочие. Давайте пойдет другим путем? :) Можете показать конфигурацию хотя бы с одним вланом на WAN-порту и чтобы через этот влан шли пакеты на любой внешний адрес?
Re: 2 Vlan-а
Добавлено: 28 дек 2020, 23:19
xvo
Примерно так будет выглядеть конфиг, когда просто на WAN-порту трафик от провайдера приходит в 111ом vlan'е.
Только добавить к этому дефолтный firewall.
У меня нет под рукой.
Код: Выделить всё
/interface bridge add name=bridge-LAN protocol-mode=none
/interface vlan add interface=ether1 name=vlan111-WAN vlan-id=111
/interface list add name=WAN
/interface list add name=LAN
/ip dhcp-server add address-pool=pool1-LAN disabled=no interface=bridge-LAN name=dhcp1-LAN
/interface bridge port add bridge=bridge-LAN interface=ether2
/interface bridge port add bridge=bridge-LAN interface=ether3
/interface bridge port add bridge=bridge-LAN interface=ether4
/interface bridge port add bridge=bridge-LAN interface=ether5
/interface list member add interface=ether1 list=WAN
/interface list member add interface=vlan111-WAN list=WAN
/interface list member add interface=bridge-LAN list=LAN
/ip address add address=192.168.0.1/24 interface=bridge-LAN network=192.168.0.0
/ip dhcp-client add disabled=no interface=vlan111-WAN
/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
/ip dns set allow-remote-requests=yes
/ip pool add name=pool1-LAN ranges=192.168.0.100-192.168.0.199
/ip firewall nat add action=masquerade chain=srcnat out-interface=vlan111-WAN
Re: 2 Vlan-а
Добавлено: 29 дек 2020, 10:34
AndreyA
В IP- Routes дефолтный шлюз поставил ether1, перед этим прописав на нем айпишник и добавив в ip- dhcp server нужные адрес/шлюз.
Теперь получается так: если пакет идет во внешнюю сеть, он попадает в vlan111- за это отвечает правило в ip- firewall- nat. Если пакет попал во влан, который привязан к физ. интерфейсу, это означает, что на физ. интерфейс пришел пакет, в котором есть метка влана- правильно? Дальше пакет идет через дефолтный шлюз и уходит во внешку- все просто и логично. Жаль только, что ничего не работает- если мы пингуем любой адрес во внешке, то получаем ответ "Превышен интервал ожидания..".
Ощущение, что, независимо от привязки влана к физ. интерфейсу, на самом деле привязки нет и влан- отдельно, а физ. интерфейс- отдельно.
З.Ы. Если в ip- firewall- nat в аут-интерфейс вместо vlan111 поставить ether1- пакеты во внешку уходят(есс-но, без влановской метки).
P.P.S. Возможно, логика тут такая: привязки и на самом деле нет(независимо от того, что там нарисовано в настройках), а VLAN - это просто виртуальный интерфейс, проходя через который пакет получает его метку. И нужно на VLANе прописывать маршрут- на какой физический интерфейс(т.е. прописывать IP физ. интерфейса) будут уходить пакеты, пришедшие на этот VLAN.
[/[admin@MikroTik] > /export hide-sensitive
# jan/02/1970 01:51:07 by RouterOS 6.35.4
# software id = 6ISP-U4G5
#
/interface bridge
add name=bridge-LAN protocol-mode=none
/interface vlan
add interface=ether1 name=vlan111-WAN vlan-id=111
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool1-LAN ranges=192.168.0.100-192.168.0.199
add name=dhcp_pool1 ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-LAN name=dhcp1
/interface bridge port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=ether5
/ip address
add address=192.168.100.1/24 interface=bridge-LAN network=192.168.100.0
add address=192.168.0.86 interface=ether1 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=vlan111-WAN
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.86
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan111-WAN
/ip route
add distance=1 gateway=ether1
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled
spoiler]
Re: 2 Vlan-а
Добавлено: 29 дек 2020, 17:20
xvo
Ещё раз: ни firewall, ни nat не имеют никакого отношения к "попаданию" во vlan'ы.
Они работают уже с IP трафиком, это следующий уровень модели OSI.
Почитайте на праздниках что-нибудь по основам построения сетей.
Re: 2 Vlan-а
Добавлено: 29 дек 2020, 19:03
AndreyA
Почитаю. Но мы остановились на том, что пока не получается сделать рабочую конфигурацию с несколькими вланами на ВАН- порту. Та конфигурация, которую вы предложили, не работает. Кстати, и в инете нет ни одного примера такой конфигурации- видимо, никто так и не смог придумать, как заставить микротик работать в таком режиме.
Я пробовал делать так: объединять влан и порт ether1 в бридж. В этом случае пакеты во внешку идут с меткой влана, но мне нужно 2 влана, а не один.
Re: 2 Vlan-а
Добавлено: 29 дек 2020, 22:58
xvo
AndreyA писал(а): ↑29 дек 2020, 19:03
Почитаю. Но мы остановились на том, что пока не получается сделать рабочую конфигурацию с несколькими вланами на ВАН- порту. Та конфигурация, которую вы предложили, не работает. Кстати, и в инете нет ни одного примера такой конфигурации- видимо, никто так и не смог придумать, как заставить микротик работать в таком режиме.
Я пробовал делать так: объединять влан и порт ether1 в бридж. В этом случае пакеты во внешку идут с меткой влана, но мне нужно 2 влана, а не один.
То, что у вас не получается - я вижу.
Пока не почитаете - не получится.
И это не "мы" остановились, а "вы".
У меня (да и вообще у тех, кто мало-мальски понимает, как оно работает) с этим проблем нет - в тех местах, где мне нужно несколько вланов на WAN-порту, там их у меня несколько. WAN-порт в этом отношении ничем не отличается от других.
Но естественно, вы готовых конфигураций под это не найдете - они не универсальны, их надо писать под задачу. Поэтому и мои конфигурации в виде as-is вам никак не подойдут.
Еще раз: вы либо учитесь сами, либо ищете себе админа в организацию.
Re: 2 Vlan-а
Добавлено: 30 дек 2020, 08:19
AndreyA
Т.е. я задал вопрос на этом форуме по конкретной задаче, никто, кроме вас, не откликнулся, но и от вас я получил ответ "изучай теорию". "Это и я так могу", как сказал Промокашка.
"Но естественно, вы готовых конфигураций под это не найдете - они не универсальны, их надо писать под задачу." - ну, так покажите хотя бы одну- тогда будет понятен хотя бы общий принцип.